当前位置:首页 » 《随便一记》 » 正文

Web 安全之 Permissions Policy(权限策略)详解

15 人参与  2024年04月18日 10:31  分类 : 《随便一记》  评论

点击全文阅读


什么是 Permissions Policy(权限策略)?

Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。

Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。

Permissions Policy 以前被称为 Feature Policy,名称已更改了,HTTP header 的语法也随着更改了,所以如果以前使用了 Feature Policy,需要检查下浏览器的支持情况,<iframe allow="…"> 语法保持不变。

Permissions Policy 用途

首先看几个可以使用 Permissions Policy 的场景:

开发者可以限制或禁止对某些敏感 API 的使用,如摄像头、麦克风、地理位置等,有助于保护用户的隐私,防止恶意网站滥用这些 API 收集用户的个人信息。可以限制对某些功能强大但存在潜在风险的 API 的访问权限,如iframe、Service Worker、Notification等,可以减少恶意攻击和跨站点脚本等网络安全威胁。可以用于改善用户体验,例如通过禁用一些音视频自动播放或弹出式广告等,减少对用户的干扰。可以提高程序的性能,例如项目在窗口中不可见后,停止相关的脚本执行。

如何设置 Permissions Policy

有两种方式来指定 Permissions Policy:

通过在 HTTP 响应头中添加 Permissions-Policy 字段来实现,可以指定一系列权限,每一个权限指定一个名称和相关策略。例如,要禁用Web API 的摄像头访问权限,添加如下 header 内容:
Permissions-Policy:camera=()
通过 <iframe> 的 allow 属性,控制指定的 <iframe> 中的特性。例如允许 iframe 全屏:
<iframe src="https://example.com..." allow="fullscreen"></iframe>

常见的 Permissions Policy 权限

以下是常见的 Permissions Policy 示例:

accelerometer:控制加速计访问的权限。autoplay:控制自动播放媒体资源的权限。camera:控制摄像头访问的权限。geolocation:控制地理位置访问的权限。microphone:控制麦克风访问的权限。notifications:控制通知访问的权限。payment:控制支付访问的权限。sync-xhr:控制同步XHR请求的权限。

Permissions Policy 最佳实践

以下是几点使用 Permissions-Policy 的最佳实践:

只授权应用程序所需的最低权限,以避免潜在的风险。使用 Permissions-Policy 前,务必进行全面的功能性和兼容性测试,确保不会影响应用程序的正常功能。可以逐步引入和设置 Permissions-Policy,确保安全性的同时减少对现有应用程序的影响。

小结

Permissions Policy 是一种强大而灵活的 Web API 权限控制机制,提供了更精确控制浏览器权限的能力。通过合理设置 Permissions Policy,可以保护用户隐私、提高应用程序的安全性和提供出色的用户体验。关于 Permissions Policy 使用相关的更详细的信息可以参考如下资料:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Permissions_Policy


点击全文阅读


本文链接:http://zhangshiyu.com/post/96938.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1